Появляется вредоносный скрипт на сайте =(
Страницы: 1 2 След.
Появляется вредоносный скрипт на сайте =(
Всем привет, есть сайт money-new.ru так вот вчера начал появляться сторонний скрипт на сайте а именно в header.php и в двух папках css и js появляются сторонние скрипты!!!
Подскажите как это остановить?
header.php вызывается практически на всех страницах сайта, вот думаю если изменить его название то это поможет? Или взломщик имеет доступ ко всем php на моём сайте?
Скачайте самые новые фильмы торент

Бесплатная контекстная реклама

Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Цитата
xschneider пишет:
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Нет не вордпресс.. Там своя система, не CMS но да появляются скрипты типа images.js и css.php
А в самом header.php появляется <script>тут какая то хрень</script>
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Нет не вордпресс.. Там своя система, не CMS но да появляются скрипты типа images.js и css.php
А в самом header.php появляется <script>тут какая то хрень</script>
Да, извините, я ляпнул, не глянув на сайт. Просто недавно на вордпрессе словил вирус - там создавались php-файлы с почти рандомным названием и зашифрованным кодом внутри. Как я решил проблему (мне легче, так как сервак стоит дома свой). Я остановил сайт, а именно  /var/www/название сайта переименовал /var/www/название сайта_stop. Я тогда сразу заметил в шаблонном header.php спрятанный скрипт. Проверял для начала сайт ai-bolit антивирусником, хотя его врядли так можно назвать, просто поиск скриптов, похожих по сигнатуре на вирусы. А потом вручную искал через ssh по именам файлов (имена файлов мне выдал ai-bolit и вручную кое-что нашел). Все удалялось вручную. У меня были примерные имена файлов такие: article.php, title.php, config.php, renovation.php, login.php, session.php,  utf.php,dirs.php,inc.php,include.php,cache.php,page.php,user.php,general.php, global.php, system.php,    start.php,     db.php,      defines.php,    model.php,   view.php,    css.php,info.php.Очень советую использовать ai-bolit скрипт. Он бесплатный и скачать его можно по адресу http://revisium.com/ai/  
Цитата
xschneider пишет:
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Нет не вордпресс.. Там своя система, не CMS но да появляются скрипты типа images.js и css.php
А в самом header.php появляется <script>тут какая то хрень</script>
Да, извините, я ляпнул, не глянув на сайт. Просто недавно на вордпрессе словил вирус - там создавались php-файлы с почти рандомным названием и зашифрованным кодом внутри. Как я решил проблему (мне легче, так как сервак стоит дома свой). Я остановил сайт, а именно /var/www/название сайта переименовал /var/www/название сайта_stop. Я тогда сразу заметил в шаблонном header.php спрятанный скрипт. Проверял для начала сайт ai-bolit антивирусником, хотя его врядли так можно назвать, просто поиск скриптов, похожих по сигнатуре на вирусы. А потом вручную искал через ssh по именам файлов (имена файлов мне выдал ai-bolit и вручную кое-что нашел). Все удалялось вручную. У меня были примерные имена файлов такие: article.php, title.php, config.php, renovation.php, login.php, session.php, utf.php,dirs.php,inc.php,include.php,cache.php,page.php,user.php,general.php, global.php, system.php, start.php, db.php, defines.php, model.php, view.php, css.php,info.php.Очень советую использовать ai-bolit скрипт. Он бесплатный и скачать его можно по адресу http://revisium.com/ai/
У меня тоже свой сервер дома. Но вы не совсем поняли, я очистил от вируса ещё вчера. Всё было нормально, но утром сного появился только уже с другими файлами и другим кодом... Сейчас всё очистил, но боюсь повторения! Вот суть вопроса состоит в том, как защитить себя? Это иньекция или кто то получил доступ к файлу? Если иньекция то можно же просто изменить название с header.php на что то другое и по логике взломщик не сможет определить новое название? Или я не в том направлении думаю)
Тогда такой вопрос: есть вероятность того, что кто-то подобрал пароль от админки или доступа к серверу? Может быть с самого начала в подключаемых js-скриптах сидел бэкдор?
Ищите код который расставляет эти скрипты, сверяйте содержание каждого файла с оригиналом.
Обычно ломают, запихивают код, и он расставляет скрипты в определенное время после удаления.
Открой свой магазин за 5 минут, их товары, их обслуживание, с тебя только клиенты >>> РЕГИСТРАЦИЯ <<<
Скрин выплат по запросу.
Рефералам помощь.
Цитата
xschneider пишет:
Тогда такой вопрос: есть вероятность того, что кто-то подобрал пароль от админки или доступа к серверу? Может быть с самого начала в подключаемых js-скриптах сидел бэкдор?
У меня стоит блок на доступ к фтп всем кроме моего второго пк, точнее никто из инета не сможет войти на фтп только по локалке и только один ip
Цитата
Алексей SP пишет:
Ищите код который расставляет эти скрипты, сверяйте содержание каждого файла с оригиналом.
Обычно ломают, запихивают код, и он расставляет скрипты в определенное время после удаления.
В принципе, согласен. Если в одном из файлов вредоносный код остался, он может, допустим при заходе на сайт-при обработке этого скрипта, создавать заново файлы и раскидывать их по папкам
Цитата
Алексей SP пишет:
Ищите код который расставляет эти скрипты, сверяйте содержание каждого файла с оригиналом.
Обычно ломают, запихивают код, и он расставляет скрипты в определенное время после удаления.
А как код может приблизительно выглядеть? И в каком расширении файла он залазеет? в php? Скорее всего в кроновский скрипт могли внести да? потому что без крона как он будет выполняться в определённое время?
Бывает, что, если есть возможность заливать картинки или аватары, а скрипт заливки (какой-нибудь upload.php не защищен), то можно залить картинку с вредоносным кодом.
Цитата
xschneider пишет:
Бывает, что, если есть возможность заливать картинки или аватары, а скрипт заливки (какой-нибудь upload.php не защищен), то можно залить картинку с вредоносным кодом.
Кстати да, надо посмотреть) Это один из вариантов!
[COLOR=#005187]Troj/JsRedir-OY[/COLOR] Вот сам вирус.
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Извините, не помню как смотреть через консоль.... crontab -l или нет..(((
Цитата
xschneider пишет:
Извините, не помню как смотреть через консоль.... crontab -l или нет..(((
Да, вроде так, но у меня на серваке перестала работать такая команда, поэтому я смотрю в /etc/cron*
Страницы: 1 2 След.
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
19:26 Где сделать сайт 
17:44 Kokos.click - народная тизерная сеть! 
17:14 Подскажите по протоколу? 
16:18 18.02.19 Яндекс выдача 
15:26 Adtrafico - Правильная партнёрская сеть под бурж трафик 
12:33 Рекламная сеть яндекса личный опыт 
12:04 Бот (free) для генерации аватарок (с использованием нейросетей) 
19:32 Нужно восстановить жёсткий диск 
17:17 Хочу продать сайт. Прошу оценить его стоимость 
17:14 Качественное размещение статей на трастовых ресурсах. Более 1000 сайтов на различную тематику. 
14:26 Трафик по ключевым словам из поисковиков 
13:18 Прогон по личной базе, больше 1000 трастовых сайтов! Продвижение СЧ и НЧ запросов + рост показателей! Гарантии! 
12:30 Новая услуга. Экономьте на SEO продвижении от 6000р. 
21:34 TGSMM.CLUB - продвижение телеграмм (рассылки, подписчики, просмотры, инвайт, аккаунты, чекинг и т.д.) 
18:49 Кому пришла выплата с AdSense? 
15:34 S-SMM.RU - Лучшая автоматическая SMM панель для раскрутки во всех соц.сетях. Низкие цены + API + Партнерка 
14:35 SEO продвижение сайтов в Яндекс, Google. Поднятие ИКС сайту, исправления ошибок, разработка стратегий 
14:14 Lucky.Online - собственные офферы, КЦ 24/7, стабильно высокий апрув 
18:37 Ключевые слова в Yoast SEO 
17:58 Продвижение сайта 
07:16 Доска объявлений